Professional Documents
Culture Documents
Configurao Inicial
Nesse capitulo, iremos abordar:
Introduo
PfSense um sistema operacional de cdigo aberto usado para transformar o computador em um
firewall, roteador. PfSense uma distribuio FreeBSD feita com base no projeto m0n0wall, uma distribuio
de firewall poderoso e leve. PfSense se baseia basicamente em m0n0wall e toma decises de todas as suas
funes, e foi adicionado mais uma variedade de servios de rede mais usadas.
Nesse capitulo iremos abordar as definies bsicas para implantao do PfSense; sendo um firewall,
roteador, ou at mesmo um AP sem fio! Uma vez o PfSense instalado e configurado de acordo com o descrito
nesse captulo, voc vai ter um firewall operacional q vai alm de um roteador. Em seu nvel mais bsico, uma
maquina PfSense pode ser usado para substituir um roteador domestico com a funcionalidade que deseja. Em
configuraes mais avanadas, PfSense pode ser usado para estabelecer um tnel seguro para um escritrio
remoto, equilbrio de carga de trfego. Existem realmente centenas de formas de se configurar um PfSense.
1
Uma vez o PfSense instalado, h duas maneiras de acessar o servidor remotamente, SSH e os WebGUI, uma
conexo SSH voc iria ver o menu igual ao visto se voc plugasse o monitor no servidor, no menu de opes
do SSH so bsicas e muito pouca configurao feita aqui. Toda configurao descrita em cada capitulo do
livro feita atravs da interface WebGUI, que pode ser acessada atravs do endereo de ip de qualquer
interface que voc configurou durante a instalao (como 192.168.1.1)
Se preparando...
Tudo que preciso pra fazer as configuraes uma base de instalado bem feita e acesso ao WebGUI.
Algumas dessas configuraes podem ter sido configuradas durante a instalao mas nada impede que possa
ser modificada a qualquer momento.
Como fazer
1. V em System | General Setup.
2. Digite um Hostname. Esse nome ser usado pra acessar a maquina pelo nome e no pelo endereo de
IP. Por exemplo podemos acessar digitando apenas http://pfsense em vez de http://192.168.1.1:
2
4. Servidores de DNS podem ser especificados aqui. Por padro o PfSense vai atuar como DNS primrio e
esses campos ficaro em branco. Mas voc pode usar outros servidores de DNS. Consulte o DNS
alternativo no Capitulo 2 Servios Essenciais, para maiores informaes.
5. Marcar Allow DNS server list to be overridden by DHCP/PPP on WAN. Isso garante que todas as
solicitaes de DNS que no so resolvidas internamente, vo passar a ser resolvidas pelo servidor de
DNS do seu provedor ISP.
6. Digite o Fuso Horrio em Time Zone e deixe o padro NTP time server como 0.pfsense.pool.ntp.org.
7. Eu recomendo o Tema padro, Pfsense 2.0 o novo pfsense_ng. Os menus do topo agora so estticos e
no vai desaparecer se voc percorrer o contedo da pgina.
Veja tambm...
Configurando DNS Forwarder no capitulo 2 Servios Essenciais.
Especificando DNS alternativo no capitulo 2 Servios Essenciais.
3
Se Preparando...
Voc precisa identificar o endereo MAC de cada placa Ethernet no seu PfSense antes de atribuir as
interfaces.
Como faz-lo...
1. Acessar o console da maquina fsica atravs do monitor ou ativar o SSH acessando remotamente (Veja
ativando o Secure Shell(SSH) para mais detalhes).
2. A tela inicial exibir uma lista de interfaces, portas de rede e endereo de IP.
4
5. Atribuir para cada interface, a interface de sua escolha correspondente ao endereo MAC para cada
endereo da interface na tela.
A capacidade de configurar apenas uma interface novo para o PfSense 2.0, sendo que nas verses
anteriores era preciso WAN e LAN.
5
H mais...
Agora voc sabe qual porta esta direcionada pra qual interface, voc pode gerenciar as futuras
mudanas atravs do WebGUI. Indo at Interfaces | (assign).
Veja tambm...
O acessando o Secure Shell em SSH
O configurando interface WAN
O configurando interface LAN
O configurando Interface Opcional
Se Preparando...
A interface WAN que conecta seu firewall a internet. Voc vai precisar configurar corretamente a
WAN interface (como foi feito no capitulo anterior) pra uma conexo com a internet. No exemplo q vamos
usar um modem a cabo fornece acesso internet, mas o PfSense pode fazer outros tipos de conexo.
Como faz-lo...
1. V at Interfaces | WAN.
2. Marque Enable Interface.
3. Escolha o tipo de configurao de endereo em Type.
4. Deixe em branco o MAC address. Voc s vai precisar inserir endereo MAC se for usar o spoofing. O
seu provedor no pode verificar seus endereos MAC, ento atribuindo manualmente voc vai forcar o
Provedor fornecer um IP ou um conjunto diferente de DNS.
5. Deixe MTU, MSS, Hostname, e Alias IP Address em branco.
6
6. Marque Block private networks. Essa configurao normalmente marcada em uma s WAN
interface.
7. Marque Block bogon networks. Essa configurao normalmente marcada em uma s WAN interface.
8. Clique em Save.
7
Como ele funciona...
Devemos primeiro criar uma conexo com a internet antes de comearmos a configurar o PfSense e
permitir q a rede conecte a internet atravs dele. Se colocarmos o nosso firewall como nica maquina com
acesso direto a internet, estamos garantindo um ambiente seguro, estabelecendo um controle completo
sobre o trafego que flui dentro e fora da rede, toda o trafego deve passar agora pelo nosso firewall e respeitar
as nossas regras.
H Mais...
Agora podemos conectar o cabo de rede do modem na interface WAN que definimos na configurao
anterior do PfSense. Uma vez conectado o cabo de rede, podemos verificar o status de conexo na porta WAN
em Status | Interfaces:
Veja tambm...
O Identificando a Atribuindo as interfaces
O configurando interface LAN
O configurando interface opcional
8
Se Preparando...
A interface LAN usada pra conectar seus dispositivos internos em uma rede interna segura.
necessrio configurar a interface LAN corretamente.
Como faz-lo...
1. V at Interface | Lan.
2. Marque Enable Interface.
3. Escolha a configurao de endereo em Type.
4. Digite seu ip em IP address e mascara de subrede. Deixe Gatway em None.
9
Como ele funciona
Voc acabou de configurar sua primeira rede interna. Se voc fez a configurao de acordo com o livro,
agora voc j conhece os requisitos mnimos para um bom funcionamento de um firewall! Voc j definiu
uma rede externa (WAN) e uma rede interna (LAN). Agora voc pode definir as regras de trafego entre os
dois.
H Mais...
Agora voc pode conectar o cabo de rede da rede interna na interface LAN do seu PfSense. Isso
permitira q voc se conecte aos computadores da rede interna.
Veja tambm...
O Identificando a Atribuindo as interfaces
O configurando interface WAN
O configurando interface opcional
Se Preparando...
A rede opcional que voc vai criar nesse exemplo, se refere a uma DMZ. A ideia de usar Zona Militar
Desmilitarizada de permitir a passagem de trafego direta ou no. A ideia do DMZ e controlada separada de
outras reas, se aplica DMZ nesse exemplo:
O trafego de internet inseguro permitido entrar na DMZ, para acessar um servidor web por exemplo.
O trafego da Lan tambm pode entrar na DMZ se quiser acessar o servidor web tambm. No entanto o ponto
chave fica na ultima regra no permitindo a entrada de DMZ na rede interna.
A rede DMZ a rede menos segura, vamos permitir acesso externo s a determinado IP, para
configurar uma DMZ ou qualquer outra rede opcional, vamos precisar de outra interface disponvel.
Como faz-lo...
1. V at uma interface disponvel, Interfaces | OPT1
2. Marque Enable Interface.
3. Em Description digite DMZ.
4. Escolha a configurao de endereo em Type, no exemplo foi escolhido Static.
5. Digite em IP Address o ip e selecione o tipo de mascara. Usaremos o 192.168.2.1 e selecione o tipo de
mascara a partir de 24 na lista.
6. Deixe Gatway em None.
10
7. Deixe Block privates networks e Block bogon networks desmarcados.
8. Clique em Save.
11
H mais...
Agora voc pode conectar um switch ligado interface DMZ para se conectar em varias maquinas. Iria
ficar como o diagrama a seguir:
Veja tambm...
O Identificando a Atribuindo as interfaces
O configurando interface WAN
O configurando interface LAN
12
Se preparando...
SSH um protocolo de rede que permite q comunicao criptografada entre dois dispositivos.
Ativando o SSH permiti acesso seguro para o console do PfSense remotamente, como se voc estivesse
sentado na frente do servidor com o PfSense.
Como faz-lo...
1. V at System | Advanced | Secure Shell.
2. Marque Enable Secure Shell.
3. Voce sera solicitado a fornecer credenciais quando voc se conectar remotamente por SSH (use o
mesmo nome de usurio e senha que voc conecta por WebGUI), voc pode marcar Disable password
login for Secure Shell. Isso ira permitir q voc use chave RSA, veja mais a frente para maiores
informaes.
4. Deixe SSH Port em branco, que vai ser usado porta padro 22.
Assim como todos os servios. O servio SSH ir ouvir em cada interface disponvel. Assim como outros
servios, regras de firewall so usadas para permitir ou bloquear acesso a esses servios. Consulte o Capitulo 3
Configuraes Geral, para obter mais informaes de como configurar regras de firewall.
H mais...
Mudando o mtodo de autenticao do SSH para usar chaves RSA uma tima maneira de proteger
acesso ao seu sistema. Veja abaixo para mais detalhes.
Alm disso voc pode alterar a porta em que o servidor escuta o SSH. Fazendo isso voc pode
aumentar a segurana ainda mais do seu sistema, reduzindo o numero de tentativas de login no autorizado,
mas preciso se lembrar da porta que voc alterou se no, no ir poder se conectar novamente.
Veja tambm...
O Gerando Chaves autorizadas RSA
O Criando regras de firewall no Capitulo 3 Configuraes Geral
13